NewsWorld tēma, priekš WordPress, ko veido deluxethemes. satur ievainojamību, ar kuras palīdzību pastāv iespēja ielādēt kaitniecisko kodu mājas lapā.
Ievainojamība atrodas tēmas thumbopen.php failā. Lai arī rakstīts, ka tas ir http://code.google.com/p/timthumb/ veidojums, ar to nav nekādas līdzības. Blakus atrodams arī oriģinālais timthum.php.
Mans ieteikums:
- lejupielādēt jaunāko timthumb.php versiju;
- aizvietot ar jaunāko timthumb.php versiju sekojošus failus: timthumb.php, thumbopen.php, thumb.php.
- ja nav plānots kādam dot savā saitā izvietotos attēlus, kā arī veikt attēlu glabāšanu uz kāda attālinātā servera, vēlams izveidot konfigurācijas failu timthumb-config.php un tur atstāt sekojošu konfigurāciju:
<?php if(!defined('BLOCK_EXTERNAL_LEECHERS')) define('BLOCK_EXTERNAL_LEECHERS', false); if(!defined('ALLOW_EXTERNAL')) define('ALLOW_EXTERNAL', false);
Pieļauju, ka citas deluxethemes veidotās tēmas arī satur šādu ievainojamību.
Pingback: Par satura vadības sistēmas (CMS*) izvēli | imants.from.lv